病毒的演變和發(fā)展

病毒的演變和發(fā)展摘要生活在二十一世紀(jì)，計(jì)算機(jī)技術(shù)發(fā)展已相當(dāng)迅猛，不僅促進(jìn)了全球科學(xué)技術(shù)的迅猛發(fā)展提高了人類生產(chǎn)能力及創(chuàng)新能力還給人們的生活和生產(chǎn)帶來了更多的方便和快捷。然而層出不窮且破壞性越來越大的計(jì)算機(jī)病毒卻給我們帶來了巨大的破壞和威脅，儼然已成為當(dāng)今社會(huì)計(jì)算機(jī)信息進(jìn)步的致命殺手。關(guān)鍵字：病毒產(chǎn)生病毒特點(diǎn)演變發(fā)展防治計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，指的是“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒已成為當(dāng)代信息社會(huì)的致命殺手，尤其是病毒與黑客技術(shù)相結(jié)合，使其對抗反病毒技術(shù)的能力越來越強(qiáng)。面對這種嚴(yán)峻形勢，人們急需要了解病毒的特征和反病毒技術(shù)，做到防殺結(jié)合，才能立于不敗之地。一、計(jì)算機(jī)病毒簡介計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生干一個(gè)污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計(jì)算機(jī)的全部性能。可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播，使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學(xué)病毒的概念，計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞，同時(shí)能夠自我復(fù)制，具有傳染性。所以，計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。二'計(jì)算機(jī)病毒的發(fā)展與演變在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的。通常在一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的反站會(huì)遏制其流傳。當(dāng)病毒庫或操作系統(tǒng)升級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒。病毒的發(fā)展可以分為一下幾個(gè)階段。（一）萌芽階段20世紀(jì)80年代早期出現(xiàn)了第一批計(jì)算機(jī)病毒。這些早期的病毒大部分是試驗(yàn)性的，并且是相對簡單的自行復(fù)制的文件，它們僅在執(zhí)行時(shí)顯示簡單的惡作劇而已。隨著計(jì)算機(jī)技術(shù)的發(fā)展，各種破壞性越來越大的計(jì)算機(jī)病毒層出不窮。這一階段從1986年到1989年，這期間出現(xiàn)的病毒可以稱為傳統(tǒng)的病毒，是計(jì)算機(jī)病毒的萌芽時(shí)期。由于當(dāng)時(shí)應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行環(huán)境，因此病毒沒有大量流行，病毒種類也比較有限，病毒清除相對比較容易。1987年，病毒主要以引導(dǎo)型為主，以小球和石頭病毒為代表。1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載可執(zhí)行文件的機(jī)制工作，代表為“耶路撒冷”病毒。這一階段的病毒總體上可以分為以下幾個(gè)特點(diǎn)：病毒攻擊的目標(biāo)單一，只傳染引導(dǎo)扇區(qū)或可執(zhí)行文件；病毒程序主要采取截取系統(tǒng)中斷向量的方式監(jiān)恐系統(tǒng)的運(yùn)行狀態(tài)，并在一定的觸發(fā)條件下進(jìn)行傳播；病毒傳染目標(biāo)以后特征比較明顯，容易被人發(fā)現(xiàn)；病毒不具有自我保護(hù)措施，容易讓你分析其原理。（二）綜合發(fā)展階段這個(gè)階段從1989年到1992年，這個(gè)階段是計(jì)算機(jī)病毒由簡單到復(fù)雜,由原始走向成孰的階段。計(jì)算機(jī)局域網(wǎng)開始應(yīng)用與普及，許多軟件開始向網(wǎng)絡(luò)應(yīng)用發(fā)展，但由于當(dāng)時(shí)網(wǎng)絡(luò)安全防護(hù)意識(shí)缺乏，給計(jì)算機(jī)病毒的傳播帶來了第一次流行高峰。這個(gè)極端的病毒，人們習(xí)慣稱為混合型病毒，可感染引導(dǎo)扇區(qū)，又可以感染執(zhí)行文件，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。這個(gè)階段的病毒具有以下幾個(gè)特點(diǎn)：1?病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤引導(dǎo)扇區(qū)，又可能傳染可執(zhí)行文件;2.病毒程序采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)；3?病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度増加不明顯，不改變被傳染文件原來的建立日期和時(shí)間等等；4.病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)，制造障礙,増加人們分析和解剖的難度，同時(shí)也増加了軟件檢測、解毒的難度；5?出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。（三）成熟發(fā)展階段第三代病毒的產(chǎn)生年限可以認(rèn)為從1992年開始至1995年，此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒，是最近幾年來出現(xiàn)的新型的計(jì)算機(jī)病毒。所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標(biāo)時(shí)，放入宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒的多個(gè)樣本中，病毒程序的代碼絕大多數(shù)是不同的，這是此類病毒的重要特點(diǎn)。正是由于這一特點(diǎn)，傳統(tǒng)的利用特征碼法檢測病毒的產(chǎn)品不能檢測出此類病毒。由此可見，第三階段是病毒的成熟發(fā)展階段°在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開始向多維化方向發(fā)展，即傳統(tǒng)病毒傳染的過程與病毒自身運(yùn)行的時(shí)間和空間無關(guān)，而新型的計(jì)算機(jī)病毒則將與病毒自身運(yùn)行的時(shí)間、空間和宿主程序緊密相關(guān)，這無疑將導(dǎo)致計(jì)算機(jī)病毒檢則和消除的困難。1992年在保加利亞發(fā)現(xiàn)的黑夜復(fù)仇者病毒變種，這是世界上最早發(fā)現(xiàn)的多態(tài)的實(shí)戰(zhàn)病毒，它可以用獨(dú)特的加密算法產(chǎn)生幾乎無限數(shù)量的不同形態(tài)的同一病毒。1994年過內(nèi)出現(xiàn)了多態(tài)病毒“幽靈”，每感染一次就產(chǎn)生不同的代碼，為查殺帶來了很大的難度。（四）英特網(wǎng)階段90年代中后期，隨著遠(yuǎn)程網(wǎng)、遠(yuǎn)程訪問服務(wù)的開通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制，這一階段的病毒，主要是利用網(wǎng)絡(luò)來進(jìn)行傳播和破壞，同時(shí)為更多的病毒愛好者提供了更大的學(xué)習(xí)空間和舞臺(tái)。首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。從某種意義上來講，微軟WordBasic的公開性以及DOC文檔結(jié)構(gòu)的封閉性，宏病毒對文檔的破壞已經(jīng)不僅僅屬干普通病毒的概念，如果放任宏病毒泛濫，不采取強(qiáng)有力的徹底解決方法，宏病毒對中國的信息產(chǎn)業(yè)將會(huì)產(chǎn)生不測的后果。這一時(shí)期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，因而，病毒傳播快、隱蔽性強(qiáng)、破壞性大。此外，隨著Windows95的應(yīng)用，出現(xiàn)了Windows環(huán)境下的病毒。這些都給病毒防治和傳統(tǒng)DOS版殺毒軟件帶來新的挑戰(zhàn)。（五）迅速壯大的階段2000年以后，計(jì)算機(jī)病毒的發(fā)展可謂真正到了一個(gè)成孰繁榮的階段，計(jì)算機(jī)病毒的更新和傳播手段更加多樣性，網(wǎng)絡(luò)病毒的目的性也更強(qiáng)。出現(xiàn)了木馬，惡意軟件等為了特定目的而存在的程序。這個(gè)階段的病毒的主要特點(diǎn)，技術(shù)綜合利用，病毒變種速度大大加快，有些病毒程序一天甚至出現(xiàn)多次更新和變種。惡意軟件和病毒程序直接把矛頭對向了殺毒軟件，國內(nèi)更出現(xiàn)了“AV終結(jié)者”、熊貓燒香等關(guān)閉殺毒軟件,屏蔽病毒字樣的目的性很強(qiáng)，并在被感染的計(jì)算機(jī)后臺(tái)大量下載其他病毒木馬的惡意程序和病毒。計(jì)算機(jī)病毒技術(shù)和反病毒技術(shù)的競爭進(jìn)一步激化，反病毒技術(shù)也面臨著新的洗牌。三、計(jì)算機(jī)病毒的防治通過采取技術(shù)上和管理上的措施，計(jì)算機(jī)病毒是完全可以防范的。雖然難免仍有新出現(xiàn)的病毒，采用更隱秘的手段，利用現(xiàn)有計(jì)算機(jī)操作系統(tǒng)安全防護(hù)機(jī)制的漏洞，以及反病毒防御技術(shù)上尚存在的缺陷，使病毒能夠一時(shí)得以在某一臺(tái)計(jì)算機(jī)機(jī)上存活并進(jìn)行某種破壞，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，這新病毒就無法逾越計(jì)算機(jī)安全保護(hù)屏障，從而不能廣泛傳播。這類病毒一旦被捕捉到，反病毒防御系統(tǒng)就可以立即改進(jìn)性能，提供對計(jì)算機(jī)的進(jìn)一步保護(hù)功能。對于計(jì)算機(jī)病毒，有病毒防護(hù)意識(shí)的人和沒有病毒防護(hù)意識(shí)的人會(huì)采取完全不同的態(tài)度。例如對于反病毒研究人員，機(jī)器內(nèi)存儲(chǔ)的上千種病毒不會(huì)隨意進(jìn)行破壞，所采取的防護(hù)措施也并不復(fù)雜。其實(shí)，只要稍有警惕，病毒在傳染時(shí)和傳染后留下的蛛絲馬跡總是能被發(fā)現(xiàn)的。再運(yùn)用病毒檢測程序和DEBUG進(jìn)行人工檢測是完全可以提前發(fā)現(xiàn)病毒，或在病毒進(jìn)行傳染的過程中就能發(fā)現(xiàn)它。下面介紹我們?nèi)粘?yīng)用的防毒措施：（一） 安裝殺毒軟件和網(wǎng)絡(luò)防火墻上網(wǎng)前或啟動(dòng)機(jī)器后馬上運(yùn)行這些軟件，就好像給你的機(jī)器“穿”上了一層厚厚的'‘保護(hù)衣”，就算不能完全杜絕網(wǎng)絡(luò)病毒的襲擊，起碼也能把大部分的網(wǎng)絡(luò)病毒“拒之門外”。安裝軟件后，要堅(jiān)持定期更新病毒庫和殺毒程序，以最大限度地發(fā)揮出軟件應(yīng)有的功效。（二） 下載文件后進(jìn)行仔細(xì)查毒網(wǎng)絡(luò)病毒之所以得以泛濫，很大程度上跟人們的惰性和僥幸心理有關(guān)。當(dāng)你下載文件后，最好立即用殺毒軟件掃描一遍，尤其是對于一些Flash.MP3、文本文件同樣不能掉以輕心，因?yàn)楝F(xiàn)在已經(jīng)有病毒可以藏身在這些容易被大家忽視的文件中了。（三） 拒絕不良誘惑很多中了惡意網(wǎng)頁病毒的朋友，都是因?yàn)樵L問不良站點(diǎn)惹的禍，因此，不去瀏覽這類網(wǎng)頁會(huì)讓你省心不少。另外，當(dāng)你在論壇、聊天室等地方看到有推薦瀏覽某個(gè)URL時(shí)，要千萬小心，以免不幸“遇害”。（四） 預(yù)防郵件病毒發(fā)現(xiàn)郵箱中出現(xiàn)不明來源的郵件應(yīng)小心謹(jǐn)慎對待，尤其是帶有可執(zhí)行附件的郵件，如.EXE、.VES、.JS等。并且一些類似廣告用語標(biāo)題的郵件，最好馬上